Jelszóproblémával küzd a McDonald's

Egy biztonsági kutató a McDonald's hivatalos weboldalán egy kockázatos sérülékenységet fedezett fel. Regisztrált felhasználók jelszavai kerülhetnek veszélybe.
 

Tijme Gommers biztonsági kutató a McDonald's weboldalát vette alaposabban is szemügyre, és egy meglehetősen kellemetlen sérülékenységre lett figyelmes. A biztonsági hiba kihasználásához szükséges kódokat, eljárásokat is kifejlesztette, aminek következtében regisztrált felhasználók jelszavait lehet kipuhatolni. Ráadásul felhasználói oldalon mindehhez akár egy linkre való kattintás is elegendő lehet.
 
A szóban forgó sebezhetőség XSS-alapú támadásokra ad lehetőséget azáltal, hogy a McDonald's a jelszavakat cookie-k segítségével letárolja a számítógépekre. Ugyan mindezt kódoltan teszi, de a kutató szerint a kódoláshoz használt kulcs (és az inicializáló vektor) minden felhasználó esetében egyforma, ami kiterjedt támadásokra ad lehetőséget. A Tijme-féle eszköz képes a cookie-k kigyűjtésére, a jelszavak kiexportálására és dekódolására, valamint azok támadókhoz való továbbítására.
 
Kritikákkal tűzdelt felfedezés
 
Az etikus hackerek a biztonsági rések felfedezéséért általában elismerésben részesülnek, legalábbis akkor, ha valóban betartják a rájuk vonatkozó írott és íratlan szabályokat. Tijme ugyanakkor kritikák kereszttűzébe került, mivel sokak szerint idő előtt publikálta a felfedezését és annak tulajdonképpen minden részletét.
 
A kutató december 24-én jelezte a problémát a McDonald's-nak, majd miután nem kapott választ, január 5-én feltöltötte az internetre a támadásokhoz szükséges technikai információkat. Ez pedig elég elhamarkodott lépésnek bizonyult, kockáztatva ezzel a felhasználók adatainak biztonságát. A bevett szokás, hogy azért egy, de inkább három hónap türelmi idő rendelkezésére áll a fejlesztőknek, hogy orvosolják a problémákat.
 
Ha Tijme felfedezése helytálló, akkor az valóban egy elgondolkodtató hibára világít rá, viszont korántsem biztos, hogy (az ünnepek miatt) öt munkanap alatt egy ekkora rendszer esetében megnyugtató módon lehet orvosolni egy ilyen sebezhető pontot. Többek szerint több időt kellett volna hagynia a hibajavításra. Ráadásul az XSS-sebezhetőségek általában nem tartoznak azon hibák közé, amik a legnagyobb veszélyességi besorolást és prioritást kapják a patch-elési folyamatokban. Ettől függetlenül persze a fejlesztőknek is résen kell(ene) lenniük.
 
A McDonald's egyelőre nem nyilatkozott a hiba kapcsán. 
 
  1. 3

    A Google ChromeOS két fontos biztonsági javítást kapott.

  2. 4

    Elérhetővé vált a Google Chrome webböngésző legújabb biztonsági frissítése.

  3. 3

    Az IBM biztonsági frissítéseket adott ki a Qradar SIEM megoldásához.

  4. 3

    A cURL fejlesztői négy biztonsági hibáról számoltak be.

  5. 4

    Az Apple egy veszélyes biztonsági hibát javított az iOS és iPadOS operációs rendszerei kapcsán.

  6. 4

    A macOS operációs rendszerhez egy fontos biztonsági frissítés vált telepíthető.

  7. 4

    A Microsoft ezúttal nyolc biztonsági rést foltozott be az Edge webböngészőben.

  8. 4

    A Mozilla fejlesztői kritikus biztonsági hibákat szüntettek meg a Firefoxban.

  9. 4

    A IBM Secure Proxy-hoz két tucat biztonsági frissítés vált elérhetővé.

  10. 3

    A Zulip Serverhez egy biztonsági hibajavítás vált elérhetővé.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség